Čtyři způsoby, jak mohou kyberzločinci hackovat hesla

Hackeři neustále hledají inovativní způsoby, jak ukrást hesla, aby obešli bezpečnostní kontroly a dostali se do vnitřní sítě, nebo účtů. Jakmile se dostanou dovnitř, útočníci mohou způsobit větší škody – ukrást vaši identitu, peníze nebo citlivé informace, odemknout přístup k jiným účtům, nainstalovat malware, provádět podvody, špionáž nebo sabotáž nebo prodat vaše přihlašovací údaje bezohledným kupcům na dark webu. Zpráva o vyšetřování společnosti Verizon z roku 2021 tvrdí, že 61 % porušení zabezpečení lze vysledovat zpět k ukradeným přihlašovacím údajům.

Hackeři mohou obecně hackovat uživatelská jména a hesla pomocí kterékoli z těchto čtyř technik:

1) Krádež hesla

Phishing a sociální inženýrství jsou jedním z nejčastějších způsobů, jak útočníci kradou přihlašovací údaje. Útočník, který se vydává za důvěryhodný zdroj (přátelé, rodina, známí), odešle e-mail, textovou zprávu nebo odkaz přes sociální média. Zpráva se obvykle jeví jako autentická a obsahuje škodlivou přílohu nebo odkaz na falešnou adresu URL, na které se po kliknutí stáhne malware nebo vás přenese na stránku, kde zadáte přihlašovací údaje. Pokud je malware nainstalován, prohledává útočník počítač oběti (paměť zařízení, internetové prohlížeče a mezipaměti hesel nebo diskové úložiště) a snaží se získat hesla z programů, aplikací nebo procesů. Ke sledování stisku kláves a odposlechu komunikace lze použít nástroje, jako je software pro vyhledávání hesel. Vzhledem k tomu, že průměrný člověk online potřebuje heslo pro 200 nebo více účtů, každá online služba je také potenciálním cílem pro krádež přihlašovacích údajů útočníkem.

2) Hádání hesla

Navzdory každodenní vlně ransomwarových podvodů, které získávají velkou publicitu, jsou hesla i nadále extrémně předvídatelná. „123456“ stále patří mezi nejčastěji používané heslo a mnoho lidí stále používá své vlastní jméno nebo ikony pop-kultury, jako jsou hudebníci, sportovní týmy, filmy nebo televizní pořady, jako součást hesla. A co víc, 65% uživatelů recykluje hesla na jiných platformách. Útočníci jednoduše nakupují výpisy hesel z dark webu a ověřují tyto přihlašovací údaje na různých webech. Studie ukazují, že osmimístná hesla lze prolomit za osm hodin a cokoli kratšího během několika minut. Hackeři stále častěji využívají útoky "credential stuffing", což je forma hádání hesel - útočník má k dispozici seznam emailů/loginů a seznam odcizených hesel a zkouší, zda odemkne více účtů stejnými hesly. V roce 2020 došlo k více než 193 miliardám credential stuffing útoků.

3) Crackování hashů hesel

Krádež hash hesel je další populární metodou, kterou útočníci používají k prolomení hesel obětí. Ve většině moderních operačních systémů je jakékoli heslo zadané uživatelem transformováno na reprezentativní hash (nebo šifru) hesla pomocí kryptografického hashovacího algoritmu. Takové hodnoty hashů jsou uloženy v databázích pro ověřování hesel, které operační systém používá k ověřování uživatelů přistupujících ke službám nebo aplikacím. Pokud je útočník nějakým způsobem schopen získat tento hash, může přijít na to, jak prolomit kryptografický algoritmus. Tento proces se nazývá "Password Hash Cracking". Je známo, že sofistikované nástroje na prolomení hashů uhodnou až biliony hesel za sekundu.

4) Neoprávněné resetování hesla

Většina autentizačních mechanismů dnes umožňuje uživatelům resetovat svá vlastní hesla. Je to proto, že většina uživatelů má tendenci zapomínat své přihlašovací údaje, což má za následek velké množství telefonátů nebo dotazů na podporu. Útočníci často využívají tuto funkci resetování a zcela obcházejí mechanismus ověřování. Jak toho útočníci dosáhnou, se liší podle ověřovacího systému a mechanismu resetování (aka SSPR). Stručně řečeno, útočníci hledají zranitelnosti v řešení SSPR a zneužívají je k zahájení resetování hesla. Jakmile je účet resetován, hackeři převezmou kontrolu a použijí účet k neoprávněnému převzetí účtu.

Tipy na posílení ochrany před útoky heslem

Existuje řada věcí, které mohou uživatelé a bezpečnostní týmy udělat, aby zmírnili rizika krádeže hesla:

1. Vždy používejte v maximální možné míře vícefaktorové ověřování (MFA). I když není zcela spolehlivé, MFA je bezpečnostní technologie, která uživatelům ukládá povinnost ověřit svou identitu pomocí dvou nebo více přihlašovacích údajů.
2. Ujistěte se, že uživatelé absolvují pravidelná bezpečnostní školení, aby dodržovali osvědčené postupy hygieny hesel, včetně identifikace a hlášení podezřelých e-mailů a zpráv (ani MFA není imunní vůči phishingu).
3. Vyzkoušejte a použijte pro každý web nebo službu jiná, neuhodnutelná hesla. Nejlepší je použít komerční správce hesel.
4. Podporujte používání dlouhých a složitých hesel. 12-ti znakové, dokonale náhodné, počítačem generované heslo dokáže porazit všechny známé pokusy o prolomení a použití 20-ti znakového hesla je ještě lepší.
5. Pověření správce, rozhraní API a citlivé zdroje musí být chráněny mechanismy uzamčení účtu, což je bezpečnostní mechanismus, který při opakovaných pokusech o přístup k účtu uzamkne prostředky účtu.

Pro maximální ochranu heslem nezapomeňte použít hloubkovou ochranu nebo vrstvený přístup. To znamená mít kombinaci bezpečnostních zásad dokumentujících, co dělat a co ne, osvědčených postupů a postupů reakce na incidenty; poučení uživatelů o hygieně hesel a technických kontrolách, které zahrnují včasnou záplatu softwaru, deaktivaci slabých hashovacích algoritmů a kryptografie, monitorování systémů pro neúspěšné pokusy o přihlášení, provádění hygieny účtu a odstraňování neaktivních uživatelů a kontrolu webových stránek s odhalenými hesly, jako je haveibeenpwned.com, za účelem zjištění, zda přihlašovací údaje byly prozrazeny.

Se vším, co se pohybuje online, se hackeři musí zlepšit v tom, co dělají. Pokud to vaše organizace myslí vážně s ochranou vaší identity, dat, reputace, peněz a dalších věcí, je čas předělat váš přístup k zabezpečení hesel.

Autor původního článku: Stu Sjouwerman
Překlad: Ondřej Strachota